Την Κυριακή που μας πέρασε, το SANS Internet Storm Center παρατήρησε μια κατακόρυφη αύξηση σε RDP Scans τις τελευταίες ημέρες, καθώς τα προσβεβλημένα συστήματα ελέγχουν δίκτυα και απομακρυσμένους υπολογιστές για ανοιχτές υπηρεσίες RDP. Μία από τις πρώτες δράσεις του Morto μόλις εισχωρήσει σε ένα σύστημα είναι να ερευνήσει το τοπικό δίκτυο για άλλους υπολογιστές, στους οποίους δοκιμάζει μια μεγάλη λίστα από πιθανά passwords για το Remote Desktop.

Ερευνητές της F-Secure ανακοίνωσαν πως ο Morto είναι το πρώτο Internet Worm που χρησιμοποιεί το Remote Desktop Protocol σαν μέσο μόλυνσης. Σύμφωνα με τον Mikko Hypponen, επικεφαλής ερευνητή της F-Secure:

"Αν κάποιος συνδεθεί σε ένα απομακρυσμένο σύστημα, έχει πρόσβαση στους φακέλους του υπολογιστή μέσω Windows Shares όπως τα \\tsclient\c και \\tsclient\d για τους δίσκους C: και D: αντίστοιχα. Ο Morto χρησιμοποιεί αυτό το χαρακτηριστικό για να αντιγράψει τον εαυτό του στο μηχάνημα-στόχο, δημιουργώντας ένα προσωρινό δίσκο στο γράμμα Α: και αντιγράφοντας ένα αρχείο με το όνομα a.dll εκεί. Η μόλυνση δημιουργεί αρκετά νέα αρχεία στο σύστημα, συμπεριλαμβανομένων των \windows\system32\sens32.dll και \windows\offline web pages\cache.txt. Ο Morto μπορεί να ελεγχθεί εξ' αποστάσεως. Αυτό γίνεται μέσα από αρκετούς διαφορετικούς servers, συμπεριλαμβανομένων των jaifr.com και qfsl.net.

Το ηθικό δίδαγμα της όλης ιστορίας είναι πως, αν χρησιμοποιείτε την υπηρεσία Remote Desktop, ειδικά με κάποιο server, προτιμήστε ένα ισχυρό Password. Για μεθόδους για να έχετε το τέλειο Password, διαβάστε το αντίστοιχο άρθρο μας: http://www.pcsteps.gr/tutorials/software/1245-pws-na-exete-to-teleio-password

Προσοχή, μην μπερδέψετε τον Morto με τον Morbo, τον εξωγήινο παρουσιαστή ειδήσεων στη σειρά κινουμένων σχεδίων Futurama: